AI賦能 對抗APT攻擊可以更簡單

陳杰

近年來，網(wǎng)絡(luò)空間安全威脅發(fā)生了巨大的變化，具備組織背景的APT（Advanced Persistent Threat縮寫，意思是高級持續(xù)性威脅）攻擊也越來越多地被安全研究機(jī)構(gòu)曝光。

APT是公認(rèn)的危害性最大的黑客攻擊行為。APT攻擊有著復(fù)雜度高、對抗性強(qiáng)、隱蔽性強(qiáng)等特點(diǎn)，通常有著竊取政府單位的國家機(jī)密、重要企業(yè)的科技信息、破壞網(wǎng)絡(luò)基礎(chǔ)設(shè)施等目的。

日前，綠盟科技聯(lián)合由方濱興院士團(tuán)隊(duì)創(chuàng)建的廣州大學(xué)網(wǎng)絡(luò)空間先進(jìn)技術(shù)研究院聯(lián)合發(fā)布了2021年《APT組織情報(bào)研究年鑒》（以下簡稱年鑒），借助網(wǎng)絡(luò)空間威脅建模知識圖譜和大數(shù)據(jù)復(fù)合語義追蹤技術(shù)，對全球372個(gè)APT組織進(jìn)行了知識圖譜歸因建檔，形成APT組織檔案館，并對APT組織活動進(jìn)行大數(shù)據(jù)追蹤，從而對新增和活躍的攻擊組織的攻擊活動態(tài)勢進(jìn)行分析。

綠盟科技平行實(shí)驗(yàn)室負(fù)責(zé)人肖巖軍說，通過檔案館能力轉(zhuǎn)化為威脅情報(bào)賦能安全產(chǎn)品和大數(shù)據(jù)平臺，形成ISR情報(bào)監(jiān)視偵察體系，有效追蹤APT組織。

肖巖軍表示，通過認(rèn)知圖譜等人工智能技術(shù)進(jìn)行網(wǎng)絡(luò)歸因，對APT組織形成畫像圖鑒，進(jìn)而優(yōu)化APT追蹤溯源，可知道APT的特性和攻擊力等指標(biāo)，從而有針對性地防守和反擊?！盎贏I人工智能輔助，打擊APT也能像打游戲一樣簡單。”

當(dāng)然，對抗APT攻擊也不能完全依賴AI的輔助，產(chǎn)業(yè)界的大量研究和實(shí)踐經(jīng)驗(yàn)已經(jīng)明確證明至少在網(wǎng)絡(luò)安全領(lǐng)域，AI絕不是萬能的，更明智的思路應(yīng)該是以機(jī)器的速度戰(zhàn)勝機(jī)器，用人的創(chuàng)造力對抗人。

肖巖軍表示，AI當(dāng)然能夠在海量數(shù)據(jù)和威脅模型未知的場景下進(jìn)行有效的探索性嘗試，但是AI并不能解決所有的網(wǎng)絡(luò)安全問題，更明智的做法是讓AI成為安全研究員的工具和方法之一，而不是完全一股腦地全盤依賴AI的判斷和輸出結(jié)果?！癆I技術(shù)的加入，確實(shí)讓安全機(jī)構(gòu)積累了大量的APT攻擊線索和特征，但如果單純依靠這些技術(shù)，必然存在大量的誤報(bào)和漏報(bào)，因此還是需要研究員去進(jìn)行強(qiáng)干預(yù)。在整個(gè)AI處理流程的前端和后端進(jìn)行威脅數(shù)據(jù)的預(yù)處理、威脅模型構(gòu)建，以及傳統(tǒng)的惡意代碼分析，才能有效和準(zhǔn)確地發(fā)現(xiàn)APT的真實(shí)攻擊”。